Μέθοδοι Κοινωνικής Μηχανικής – Social Engineering.

Μέθοδοι Κοινωνικής Μηχανικής – Social Engineering.

Συνήθεις Ερωτήσεις – F.A.Q.

Phishing.

Τι είναι το Phishing.

Το Phishing (προφέρεται φισηινγκ), παράφραση της λέξης ψάρεμα (fishing) στην αγγλική, είναι μια μορφή κοινωνικής μηχανικής, της λεγόμενης Social Engineering και γράφεται με Phi μάλλον επειδή αφορά το ηλεκτρονικό ψάρεμα με ρομποτικά δίκτυα τα οποία λειτουργούν με ειδικούς μαθηματικούς αλγόριθμους χάρη στη μαγεία του αριθμού phi, φ = 1,618. Με απλά λόγια το Phishing είναι ένας πολύπλοκος τρόπος εξαπάτησης μέσω του ηλεκτρονικού ταχυδρομείου, για να κλέψουν τα προσωπικά σας στοιχεία πρόσβασης.

Πώς λειτουργεί το Phishing.

Το φίσινγκ (Phishing) λειτουργεί αυτοματοποιημένα, μέσα από σελίδες που περιέχουν κακόβουλο λογισμικό (malicious websites) ή μέσα από πλαστά διαφημιστικά (Fake ads) ή μολυσμένες διαφημιστικές εικόνες (infected online ads) που ελέγχονται από botnets. Ένα zombie botnet είναι ένα κατανεμημένο δίκτυο υπολογιστών που ελέγχεται από ένα botmaster με στόχο να εξαπατήσουν τους χρήστες και να τους οδηγήσουν σε άλλες σελίδες (traffic redirects). Οι επικίνδυνες ανακατευθύνσεις οδηγούν σε μολυσμένες με κακόβουλο λογισμικό σελίδες και ποντάρουν στη σύγχυση του χρήστη χειραγωγώντας τον μέχρι να τον κάνουν να πατήσει το κουμπί που πίσω του κρύβεται ο ιός, το malware ή το spyware (κατασκοπευτικό πρόγραμμα). ‘

Ransom ware.

Ένα από τα πιο γνωστά κακόβουλα λογισμικά είναι το CryptoLocker , που εμφανίστηκε το 2013 και κρύβεται μέσα σε άλλα, επιφανειακά αθώα αρχεία. Εάν πατήσετε το λάθος κουμπί δεν σταματάει. Αρχίζει να κρυπτογραφεί σημαντικά αρχεία χρησιμοποιώντας κάποιες επεκτάσεις αρχείων. Οι χάκερς απειλούν να διαγράψουν τα κλειδιά αποκρυπτογράφησης, εάν το θύμα αρνηθεί να καταβάλει την πληρωμή σε bitcoins ή μετρητά μέσα σε λίγες ημέρες. Μετά τη λήξη της καθορισμένης προθεσμίας, το θύμα μπορεί να βρει το κλειδί αποκρυπτογράφησης, χρησιμοποιώντας ένα ειδικό διαδικτυακό εργαλείο, αλλά κοστίζει αρκετές χιλιάδες δολάρια. Έτσι αν δεν έχουν backup τους συμφέρει να πληρώσουν τους Χάκερ.

‘Άλλα γνωστά κακόβουλα λογισμικά είναι ο αρουραίος, R.A.T. (random access trojan), το Doxware, επίσης γνωστό ως extortionware, που είναι ένα εκτελέσιμο αρχείο με το οποίο ο επιτιθέμενος αποκτά πρόσβαση σε ευαίσθητα δεδομένα του στόχου. Το BadBIOS,  ένα Trojan σε επίπεδο BIOS (Basic Input / Output System) που μπορεί να επηρεάσει συστήματα Windows, Macintosh, Linux και BSD. Μπορεί να μην ενεργοποιηθεί άμεσα αλλά μόλις ανακαλύψει πέρασμα μέσα από διάφορες τρύπες σε εκδόσεις που δεν έχουν ενημερωθεί προγραμμάτων όπως Java, PDF reader, mediaplayer και διάφορα plugins.

Άλλο κακόβουλο πρόγραμμα για εκβιασμούς ransomware, είναι το Reveton και στέλνει μια προειδοποίηση που υποτίθεται ότι προέρχεται από την υπηρεσία επιβολής του νόμου. Η προειδοποίηση γράφει ότι το θύμα είναι ένοχος παιδικής πορνογραφίας ή έχει παραβεί το νόμο για τα πνευματικά δικαιώματα κάποιας εταιρείας, κατεβάζοντας παράνομο λογισμικό. Οι hackers εμφανίζουν επίσης τη διεύθυνση IP για να πείσουν τα θύματα της επίθεσης για την αξιοπιστία των ισχυρισμών τους και απαιτούν πληρωμή πρόστιμου μέσω ανώνυμης προπληρωμένης υπηρεσίας.

Ποιες είναι μορφές της Κοινωνικής Μηχανικής.

Spam Email  

Phishing μέσω ηλεκτρονικού ταχυδρομείου

Εάν λάβετε μήνυμα ηλεκτρονικού ταχυδρομείου ή τηλεφώνημα για δουλειά από κάποιον που δεν έχετε έρθει σε επαφή, είναι πιθανότατο να είναι απάτη. Συνήθως, οι εργοδότες έχουν εταιρικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου, Email. Εάν η επαφή σας έχει μη-εταιρική διεύθυνση και δεν έχει προφίλ με πληροφορίες ας είστε προσεκτικοί. Τα παραπλανητικά μηνύματα (Phishing e-mails) αντιγράφουν τα λογότυπα και τα γραφικά γνωστών ιστοσελίδων και ζητούν να τους δώσετε τα προσωπικά σας στοιχεία πρόσβασης σε αυτές. Αν είστε μεγάλο ψάρι ακόμη και αν έχετε διπλή ταυτοποίηση μέσω τηλεφώνου, two factor authentication, οι χάκερς έχουν τη δυνατότητα να κάνουν τον κόπο να ανακατευθύνουν εκεί που θέλουν και τα μηνύματα των κινητών τηλεφώνων, προτού το καταλάβετε.

Τα περισσότερα Spam mail, τα αντιλαμβάνονται τα αμυντικά συστήματα των μεγάλων εταιριών που προσφέρουν τα ηλεκτρονικά γραμματοκιβώτια, όπως είναι το Gmail, το Hotmail, και το Yahoo mail και τα στέλνουν στο φάκελο της ανεπιθύμητης αλληλογραφίας. Όχι όμως όλα. Δυστυχώς κάποια ενοχλητικά μηνύματα περνάνε τα φίλτρα ασφαλείας. Μπορεί να παριστάνουν την τράπεζα σας και να σας ζητούν να μπείτε στη σελίδα για να πάρετε ένα δώρο, ή μια επιστροφή χρημάτων ώστε να καταγράψουν το όνομα χρήστη σας και τον κωδικό πρόσβασης στον λογαριασμό σας στην τράπεζα σας. Μέσα σε λίγα δευτερόλεπτα αν έχετε οικονομίες στον τραπεζικό σας λογαριασμό, αυτές μεταφέρονται σε αφορολόγητους παραδείσους όπως τα νησιά Μπαρμπάντος, ο Άγιος Δομήνικος ή άλλα εξωτικά μέρη. Εκεί κατατίθενται σε ανώνυμα bitcoins και δεν υπάρχει ελπίδα να βρεθούν ποτέ από την αστυνομία.

Smishing

Phishing Μέσω μηνυμάτων SMS

Το Smishing είναι SMS phishing, είναι η μέθοδος εξαπάτησης με μηνύματα κειμένου που αποστέλλονται σε τυχαίες ηλεκτρονικές διευθύνσεις με στόχο να ενθαρρύνουν τους ανθρώπους να κάνουν κλικ σε ύποπτους συνδέσμους links, ώστε να διεισδύσει στον υπολογιστή τους λογισμικό παρακολούθησης spyware ή άλλο malware.

Vishing

Phishing via telephone Ψάρεμα διά τηλεφώνου

Το Vishing είναι τηλεφωνική απάτη της κατηγορίας phishing (ψάρεμα), με τη διαφορά ότι στο Vishing οι απατεώνες προσπαθούν να αποκτήσουν πολύτιμες πληροφορίες μέσω τηλεφώνου. Η τηλεφωνική απάτη, έχει αποδειχθεί μια από τις πιο επιτυχημένες μεθόδους κοινωνικής μηχανικής.

Spear Phishing

Επιλεγμένος στόχος (με καμάκι).

Το Spear phishing είναι μια επίθεση που στοχεύει σε ένα συγκεκριμένο τμήμα ή σε ένα στέλεχος κάποιου οργανισμού, για να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες, όπως εμπορικά μυστικά ή στρατιωτικές πληροφορίες, για οικονομικό κέρδος. Πρόσφατα, μια παραλλαγή του Petya ransomware που έχει βαπτιστεί GoldenEye είχε στόχο τα τμήματα ανθρώπινου δυναμικού (HR) διαφόρων εταιριών με πλαστές αιτήσεις εργασίας που είχαν μολυνθεί με κακόβουλο λογισμικό.

Whaling 

Φαλαινοθηρία.

Η φαλαινοθηρία ή Whaling, είναι μια ειδική μορφή phishing που απευθύνεται σε στελέχη και διευθυντές επιχειρήσεων με στόχο να αποκτήσει πρόσβαση στο λογαριασμό τους (Business Email Compromise – BEC). Είναι διαφορετικό από το συνηθισμένο phishing διότι στη φαλαινοθηρία, τα μηνύματα του ηλεκτρονικού ταχυδρομείου ή των ιστοσελίδων στα οποία έχει στηθεί η απάτη είναι πολύ πιο πειστικά και προσεγμένα, αφού συνήθως στοχεύουν στον διαχειριστή της επιχείρησης ή στην εκτελεστική εξουσία της εταιρίας στην οποία γίνεται η επίθεση.

Fake Online Profiles 

Απάτη με ψεύτικα προφίλ.

Κάποιοι που γνωρίζουν τα γούστα σας μπορεί να φτιάξουν ψεύτικα προφίλ ή πλαστούς Online game characters, για να σας δελεάσουν να γίνετε φίλοι ή να φαίνονται ως φίλοι σας με στόχο να εξαπατήσουν κάποιον φίλο σας. Οι ηλεκτρονικοί απατεώνες φτιάχνουν επίσης ψεύτικα προφίλ σε σελίδες όπως το CareerBuilder και παρόμοιες επιχειρήσεις και τις χρησιμοποιούν για να βρουν θύματα. Έχουν διεισδύσει στο LinkedIn και σε όλα τα μέσα δικτύωσης. Τα τελευταία χρόνια υπήρξαν απώλειες πολλών δισεκατομμυρίων παγκοσμίως, από απάτες σε πιστωτικές κάρτες μέσα από την ψυχολογική χειραγώγηση με πλαστά προφίλ στα social media.

Eavesdropping

Υποκλοπές

Η σημερινή τεχνολογία επιτρέπει σε ορισμένους να ακούνε κρυφά τις ιδιωτικές συνομιλίες των άλλων χωρίς τη συγκατάθεσή τους με ηλεκτρονικά αυτιά, μικρόφωνα και κρυφές κάμερες. Ο στόχος είναι ένα password, ένας κωδικός P.I.N. κλπ.

Dumpster Diving

Συγκομιδή σκουπιδιών

Αυτό ακριβώς που σημαίνει η λέξη. Θα βουτήξουν ακόμα και στον κάδο απορριμμάτων για να βρουν το Α.Φ.Μ. σας, την παλιά πιστωτική κάρτα σας, τον κατεστραμμένο παλιό σας σκληρό δίσκο ή τα ηλεκτρονικά σκουπίδια σας. Ακόμη και μια άχρηστη απομαγνητισμένη δισκέτα, ή μια παλιά κάρτα S.I.M. θα μπορούσε να κρύβει χρήσιμες πληροφορίες για ένα χάκερ.

Shoulder surf 

Σερφάροντας πάνω από τον ώμο σας.

Ο όρος Shoulder surf δηλώνει μια μορφή κοινωνικής μηχανικής με την οποία κάποιος κάνοντας τον αδιάφορο κοιτάει πάνω από τον ώμο σας προσπαθώντας να κλέψει τον κωδικό πρόσβασης στο ΑΤΜ της τράπεζας σας ή άλλα εμπιστευτικά δεδομένα. Μπορούν να το κάνουν αυτό απευθείας, με στενή από κοντά παρακολούθηση, είτε με καθρέπτες, κιάλια, τηλεφακούς, κρυμμένα μικρόφωνα και κάμερες.

Spam Chat

Ανταλλαγή κειμένων με αγνώστους

Επειδή στα παράθυρα συνομιλίας μέσω κειμένου ή chat, δεν βλέπεις τον άλλο μπορεί εύκολα να παραπλανηθείς. Ένα παράδειγμα είναι σε κλαμπ γνωριμιών ή αγγελίες ο απατεώνας επιλέγει ένα στόχο και προσποιείται ότι δείχνει ρομαντικό ενδιαφέρον. Στέλνει ψεύτικες φωτογραφίες που έχει κλέψει από το Facebook, λέει και γράφει διάφορα για να δημιουργήσει ραπόρτο και τέλος παρουσιάζει κάποιο πρόβλημα για το οποίο ζητά οικονομική βοήθεια. Το θύμα ελπίζει ότι η σχέση εξ αποστάσεως θα εξελιχθεί σε κοντινή και στέλνει τα χρήματα.

Hoaxes

Απατεωνιές

Μια απίστευτη προσφορά σε pop up παράθυρο, ότι κερδίσατε 1000 ευρώ ή την καινούρια Πόρσε ή Μερτσέντες. Πλαστές εξωφρενικές ειδήσεις που πάλι έχουν στόχο να σας αναγκάσουν κάπου να κάνετε κλικ. Αν θέλετε, περιπτώσεις ψευδών ειδήσεων, δείτε στο junkscience.com

Chain letters

Γράμματα αλυσίδες

Τα Chain letters υποστηρίζουν ότι αν στείλετε την επιστολή αλυσίδα και σε άλλους παραλήπτες θα κερδίσετε πολλά χρήματα, ενώ αν σπάσετε την αλυσίδα θα πάθετε κακό. Οι επιστολές αλυσίδες είναι μια απάτη που πείθει τους χρήστες να στέλνουν χρήματα ή τα προσωπικά τους στοιχεία στο δημιουργό της αλυσίδας. Δημιουργεί μια βάση δεδομένων και κατηγοριοποιεί τα υποψήφια θύματα. Είναι ένα πολυ-επίπεδο σχήμα σε μορφή πυραμίδας.

Ads Fraud

Πλαστές διαφημίσεις

Κάποια λογισμικά για λύτρα (ransomware) για να αποφεύγουν την ανίχνευση, είναι προγραμματισμένα χρησιμοποιώντας  JavaScript να μεταμφιέζουν εκτελέσιμα αρχεία όπως το svchost.exe ή το explorer.exe σε εικόνες jpg. Το CryptoWall  συνδέεται με διαφημίσεις με τις οποίες ανακατευθύνει τα θύματά σε κακόβουλες ιστοσελίδες. Η τελευταία έκδοση του κρυπτογραφεί τόσο τα ονόματα των αρχείων όσο και των δεδομένων στα αρχεία κι επίσης κάνει διαγραφή των αντιγράφων ενώ κρυπτογραφεί τα αρχεία. Αυτό καθιστά πολύ δύσκολο για ένα πρόγραμμα προστασίας από ιούς να ανιχνεύσει το malware έγκαιρα.

Fake Apps

Πλαστές εφαρμογές

Γνωρίζατε ότι το 82% των κακόβουλων ιστοσελίδων είναι νόμιμες ιστοσελίδες οι οποίες έχουν καταληφθεί από ηλεκτρονικούς πειρατές; Σε πολλά προγράμματα γνωστών εταιριών software, μπορούν να αντιγραφούν οι σελίδες από απατεώνες κι εσείς να παραδώσετε τα μυστικά σας στοιχεία. Επίσης αν κάνετε downloads από πειρατικές σελίδες τύπου Warez Piracy, εκεί που νομίζετε ότι κατεβάζετε ταινίες ή μουσική, μπορεί να κατεβάζετε έναν ιό. Το ίδιο μπορεί να συμβεί και με πλαστά PC Game license keys.

Tailgating

Πίσω έχει η αχλάδα την ουρά

Ο όρος Tailgating χαρακτηρίζει τη μορφή της κοινωνικής μηχανικής που μοιάζει σαν να ένα όχημα να τρέχει σε ένα δρόμο πολύ κοντά στο προπορευόμενο όχημα και να κολλάει στην ουρά του. Στην κυβερνητική ασφάλεια είναι όπως όταν κολλάς στην πλάτη κάποιου ο οποίος έχει κάρτα πρόσβασης για να περάσεις μια πόρτα ασφαλείας. Μια μορφή Tailgating είναι όταν σε ένα φαινομενικά καθαρό λογισμικό πρόγραμμα κρύβεται ένας ιός κολλημένος και δεν γίνεται αντιληπτός από το Antivirus.  Πίσω έχει η αχλάδα την ουρά, όπως λέγανε για το πολεμικό πλοιάριο που ακολουθούσε ένα εμπορικό καράβι χωρίς να φαίνεται.

Piggybacking 

Κάνε ντου.

Το Piggybacking είναι μία από τις πιο απλές μορφές της κοινωνικής μηχανικής. Οι Piggybackers έχουν διάφορες μεθόδους διείσδυσης. Μπορεί να χωθούν σε ένα μεγάλο πλήθος για να περάσουν μια είσοδο ή να προσποιούνται ότι είναι συνοδοί κάποιου εξουσιοδοτημένου ατόμου που προηγείται. Φανταστείτε το αυτό στο δίκτυο σαν ένα πακέτο με πολλές φωτογραφίες και στο βάθος ιούς.

Reverse Social Engineering

Αντίστροφη κοινωνική μηχανική

Μια τελευταία μορφή της κοινωνικής μηχανικής, είναι η αντίστροφος κοινωνική μηχανική, ή Reverse Social Engineering. Εδώ ο εισβολέας δεν ξεκινάει πρώτος την επαφή. Το θύμα μπορεί να παρασυρθεί ώστε να επικοινωνήσει με τον εισβολέα με πολλούς και διάφορους τρόπους. Θα μπορούσε να είναι μια σειρά σχολίων στο προφίλ κάποιου κοινού φίλου τοποθετημένων ώστε το θύμα να προσεγγίσει πρώτο τον hacker.  Γενικά ενέργειες που θα δημιουργούσαν ένα βαθμό εμπιστοσύνης μεταξύ του θύματος και του χάκερ, ώστε στην πορεία να δώσει τις πληροφορίες εθελοντικά χωρίς να το συνειδητοποιήσει άμεσα.

Οι απάτες και μάλιστα με αντίστροφη κοινωνική μηχανική καραδοκούν παντού. Π.χ. στη σελίδα του ΕΣΠΑ συστήνεται στους ενδιαφερόμενους, να αποφεύγουν κάθε επαφή ή συναλλαγή, με επιτήδειους που φέρονται ως εκπρόσωποι συνεργαζόμενων εταιρειών του Υπουργείου και οι οποίοι ζητούν προκαταβολικά, χρηματικά ποσά για υποβολή αιτήσεων σε δράσεις.

Διαβάστε περισσότερα.

Alexicacus.com ©2017 All rights Reserved

Επικοινωνία